*Actualización 14-Ene-2013: Microsoft publica MS13-008.
Microsoft ha publicado 7 actualizaciones de seguridad para corregir 12 vulnerabilidades en sistemas Microsoft Windows, Microsoft Office, Microsoft Developer Tools, Microsoft Server Software, y Microsoft .NET Framework. De las actualizaciones publicadas, dos son consideradas como de severidad crítica y se requiere su aplicación inmediata.
Las siguientes son las actualizaciones publicadas por Microsoft.
Severidad Crítica:
- MS13-001 – Actualización crítica de seguridad para todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2. Resuelve una vulnerabilidad en Microsoft Windows que podría permitir la ejecución remota de código si un servidor de impresión recibe un trabajo de impresión especialmente diseñado. Las mejores prácticas de firewall y las configuraciones predeterminadas estándar de firewall pueden ayudar a proteger a las redes frente a ataques que se originan fuera del perímetro de la empresa. Las mejores prácticas recomiendan que los sistemas conectados directamente a Internet tengan un número mínimo de puertos expuestos.
- MS13-002 – Actualización crítica de seguridad para Microsoft XML Core Services 3.0, Microsoft XML Core Services 4.0 y Microsoft XML Core Services 6.0 en todas las ediciones afectadas de Windows XP, Windows Vista, Windows 7, Windows 8, y Windows RT; y para Microsoft XML Core Services 5.0 cuando está instalado en todas las ediciones compatibles de Microsoft Office 2003, Microsoft Office 2007, Microsoft Word Viewer, Microsoft Office Compatibility Pack, Microsoft Expression Web, Microsoft SharePoint Server 2007, y Microsoft Groove Server 2007. Se considera de severidad Moderada para Microsoft XML Core Services 3.0, 4.0 y 6.0 en todas las ediciones afectadas de Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012. Resuelve dos vulnerabilidades en Microsoft XML Core Services que podrían permitir la ejecución remota de código si un usuario ve una página web especialmente diseñada usando Internet Explorer. Un atacante no podría obligar a los usuarios a visitar tal sitio web. En su lugar, un atacante tendría que persuadir a los usuarios a visitar el sitio web, convenciéndoles para que hagan click en un enlace dentro de un mensaje de correo electrónico o de chat que lleve al usuario al sitio web del atacante.
- MS13-008 – Actualización crítica de seguridad para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en sistemas cliente Windows. Se considera de severidad Moderada para Internet Explorer 6, Internet Explorer 7, e Internet Explorer 8 en los sistemas servidor de Windows. Resuelve una vulnerabilidad en Internet Explorer que podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada usando Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo. Actualización publicada el 14-Ene-2013, fuera del ciclo habitual de publicaciones de actualizaciones de seguridad de Microsoft.
Severidad Importante:
- MS13-003 – Actualización de seguridad para todas las ediciones compatibles de Microsoft System Center Operations Manager 2007. Resuelve dos vulnerabilidades en Microsoft System Center Operations Manager que podrían permitir la elevación de privilegios si un usuario visita un sitio web afectado mediante una URL especialmente diseñada. Un atacante no podría obligar a los usuarios a visitar tal sitio web. En su lugar, un atacante tendría que persuadir a los usuarios a visitar el sitio web, convenciéndoles para que hagan click en un enlace dentro de un mensaje de correo electrónico o de chat que lleve al usuario al sitio web afectado.
- MS13-004 – Actualización de seguridad para Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, y Microsoft .NET Framework 4.5 en todas las ediciones compatibles de Microsoft Windows. Esta actualización no tiene una clasificación de severidad para Microsoft. NET Framework 3.0 Service Pack 2. Resuelve cuatro vulnerabilidades en el .NET Framework. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario ve una página web especialmente diseñada usando un navegador web que pueda ejecutar XAML Browser Applications (XBAPs). Las vulnerabilidades también podrían ser utilizadas por aplicaciones Windows .NET para eludir restricciones de Código de Acceso de Seguridad (CAS). Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-005 – Actualización de seguridad para todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8,Windows Server 2012 y Windows RT. Resuelve una vulnerabilidad en Microsoft Windows que podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada.
- MS13-006 – Actualización de seguridad para para todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, y Windows RT. Resuelve una vulnerabilidad en la implementación de SSL y TLS en Microsoft Windows. La vulnerabilidad podría permitir la omisión de la función de seguridad si un atacante intercepta protocolos de enlace de tráfico web cifrado.
- MS13-007 – Actualización de seguridad para para Microsoft. NET Framework 3.5, Microsoft. NET Framework 3.5 Service Pack 1, Microsoft. NET Framework 3.5.1 y Microsoft. NET Framework 4. También se considera importante para Management OData IIS Extension cuando está instalado en Microsoft Windows Server 2012. Resuelve una vulnerabilidad en el protocolo Open Data (OData). La vulnerabilidad podría permitir la denegación de servicio si un atacante no autenticado envía peticiones HTTP especialmente diseñadas a un sitio afectado. Las mejores prácticas de firewall y las configuraciones predeterminadas estándar de firewall pueden ayudar a proteger a las redes frente a ataques que se originan fuera del perímetro de la empresa. Las mejores prácticas recomiendan que los sistemas conectados directamente a Internet tengan un número mínimo de puertos expuestos.
Para más información consulte el Resumen del Boletín de Seguridad de Microsoft de Enero 2013.
Microsoft publica también una versión actualizada de la Herramienta de Eliminación de Software Malintencionado de Microsoft Windows para eliminar software malintencionado específico en equipos que ejecutan Windows 8, Windows Server 2012, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows XP. Después de la descarga de la herramienta, ésta se ejecuta una vez para comprobar si el equipo está infectado por algún software malintencionado frecuente (como Blaster, Sasser o Mydoom) y ayuda a eliminar las infecciones encontradas.
Las actualizaciones de seguridad publicadas por Microsoft pueden ser aplicadas vía Windows Update o directamente desde cada página web de la actualización. Es recomendable aplicar de inmediato las actualizaciones de severidad crítica. Los administradores de sistemas de las organizaciones deben realizar antes alguna prueba del impacto de la actualización en aplicaciones internas y en la continuidad de la red.